Planos de contingência em TI

José Wanderlei Gava Galves

O que fazer quando Riscos assumidos se concretizam?

O que fazer quando os riscos identificados e assumidos (ou não) pela alta gestão se concretizam
de forma inesperada? O que fazer então quando estes riscos são relativos à Área de Tecnologia da
Informação (Tl) ? Mais especificamente, o que fazer quando a área de Operações de Tl tem suas
atividades paralisadas por um simples início de incêndio, mas de conseqiiências que podem
inviabilizar o negócio?

Eliminar Riscos em TI - Uma tarefa "Hercúlea".

O que fazer quando é identificado que o risco de incêndio na Sala de Operações de TI (previsto ou
não antecipadamente, porém possível), se concretizou e que este incidente atingiu sobremaneira
os servidores principais da empresa, podendo acarretar a paralisação das atividades e até mesmo
tornar inviável o negócio?

É desnecessário enfatizar a importância de uma área de TI para as empresas, onde informação

não é mais base para o negócio e sim o próprio negócio.

A adoção de ações preventivas planejadas antecipadamente como Planos de Contingência, é uma

possibilidade para se amenizar riscos em TI ou até mesmo eliminá-los. É entendido porém por
muitos que "eliminar" riscos em TI é uma tarefa "hercúlea", não sendo recomendável ser feita tal
promessa aos níveis de decisão, visto que os riscos se renovam a cada dia, sendo sua velocidade
proporcional à dinâmica desta ciência.

Para ser tratado o processo "Riscos Concretizados/Planos de Contingência em TI", vários são os
assuntos que requerem uma abordagem antecipada, objetivando a equalização de conceitos :

Gerenciamento de Riscos nas Empresas ou "Como não ser um Gerente Feliz"

De um autor anônimo: "3 ignorância traz a felicidade". É assim que a maioria das empresas pode
estar gerenciando seus riscos: quando fazem, tratam seus riscos de forma burocrática (alguém
pediu e não cobrou, alguém registrou e alguém esqueceu...). "Alguém finge que pede, alguém finge
que faz e vai se vivendo de forma feliz, pois não se sabendo não se tem preocupação". "Tratar
Riscos de forma burocrática é um grande risco para a empresa", com exceção talvez de trazer
"felicidade" para todos, como visto.

Reconhecer e gerenciar Riscos é uma das obrigações do Gestor do Negócio. É o Gestor do

Negócio atuando de forma preventiva e pró-ativa. Gerenciar efetivamente os Riscos é a
possibilidade da descoberta de novas oportunidades.

Por outro lado Não Gerenciar Riscos é "correr atrás do prejuízo". Não Gerenciar Riscos é o
"suicídio profissional". Não Gerenciar Riscos é estar atrás da concorrência.
Não ser tem gestor" feliz" é obrigação da Gerência.

Causas do Não Gerenciamento de Riscos

Muitas podem ser as causas desta indiferença em relação à Gestão de Riscos de forma
profissional, porém três são as mais comuns : aspecto financeiro; gestão frágil da alta e da média
Gerência; e incompetência técnica operacional. Prever, mensurar, classificar e valorar riscos requer
competência técnica das áreas. Contingenciar Riscos requer visão técnica apurada e crítica do seu
negócio. Só se contigencia o que é conhecido e medido. "Fazer acontecer" depende de gestão
ativa, receptiva, participativa, colaborativa e pró-ativa. Dinheiro é o terceiro fator. Não pouco,
principalmente quando a área é TI e o assunto é Plano de Contingência.
 Responsabilidade pela Gestão de Riscos nas Empresas
Follow-up sobre Riscos - Self Assessment: é a responsabilidade dos Gestores do Negócio e da
empresa pela avaliação dos processos e acompanhamento dos riscos identificados, planos de ação
e prazos para cumprimento. Caso a empresa não possua uma metodologia para a gestão dos
riscos, esta função é normalmente executada, de forma indevida, pelas Auditorias Interna e
Externa. Não se deve confundir controles internos e riscos. Apesar de ser assunto para outras
páginas, é importante citar que controles internos e riscos são atividades diferentes, porém
interdependentes. Confundi-ias já é um passo para se aumentar o risco na empresa. Pensa-se que
a gestão eficaz de controles internos ameniza os riscos, porém nem sempre isto ocorre.

Risco Tl nas Empresas

Outro fator a ser considerado, e neste caso importante para a compreensão do problema
apresentado, é a disciplina TI nas empresas. Como ela é ainda vista, por muitos gestores, como
uma grande consumidora de recursos, que não é uma inverdade, empresários relegam a segundo
plano os gastos ditos não necessários para a operação das atividades desta área. Estes
empresários assumem os riscos de TI sem o mínimo de conhecimento da sua extensão e impacto.

Dentre os gastos citados no parágrafo anterior, os mais chamativos são ainda aqueles relativos
aos Planos de Contingência. Cabe aos gestores de TI estarem preparados para conscientizar,
educar, convencer e demais verbos relacionados, os órgãos de decisão das empresas. Porém, o
que são Planos de Contingência para TI?

A atividade Tl nas Empresas:

Antes de se conceituar Planos de Contingência de TI, voltemos ao assunto TI. Como funciona ou
quais são as áreas básicas de TI? Independente da instalação, da empresa, dos produtos e dos
serviços uma área de TI tem basicamente três sub-divisões (e claro muitas variações sobre o
mesmo tema) :
- uma área de Desenvolvimento de Sistemas (programadores, analistas, metodologias e
ferramentas para desenvolvimento de sistemas etc). É a área que tem contato direto com o usuário
final-cliente. Deveria ser a porta de entrada da área de TI para os usuários/clientes;
- uma área de Operações/Produção, onde estão as máquinas principais de processamento
(servidores, fitotecas, impressoras centralizadas etc). É onde os sistemas corporativos são
processados; os serviços de correio, internet são mantidos; as informações são geradas e
armazenadas. É, como o próprio nome diz, a produção de TI;
- e finalmente uma área de Suporte Técnico que mantém esta tecnologia. É o pessoal técnico que
mantém a infra-estrutura de informática (hardware e software).

Riscos e Controles Internos em TI

De volta à questão "o que são Planos de Contingência para Tl?". Planos de Contingência de
TI são Planos elaborados, escritos, divulgados, testados, mantidos e atualizados, objetival1rlo
snanter
o negócio contínuo, mesmo que haja um sinistro que afete áreas/equipasnentos/serviços de TI.
Este
sinistro pode ser desde pequenas proporções (quebra de um servidor crítico até perda total das
instalações).

Quais são os riscos de TI? No parágrafo anterior são citados dois (grifados) de uma infinidade.
Cada área de TI (as três básicas) tem inerente seus riscos operacionais e técnicos. Alguns
exemplos :
- Desenvolvimento de Sistemas: risco de que os sistemas da empresa sejam desenvolvidos
de forma não padronizada gerando custos pela "independência na criação" e dificuldades
 ou mesmo impossibilidade de manutenção em função da falta de uma Metodologia de
Desenvolvimento de Sistemas (Controle Interno)
- Operação/Produção : risco de indisponibilidade dos serviços de TI pela inexistência de sites
alternativos (Controle Interno) para continuidade do processamento em casos de perda de uma ou
mais máquinas principais.
- Suporte Técnico : risco de indisponibilidade dos serviços pela adoção/implantação de um
software básico não compatível com a infra-estrutura de Tl homologada (Controle Interno).

Para conhecimento de todos os riscos de TI é importante que esta área tenha uma metodologia
básica e cada gestor e equipe estejam preparados para validar Riscos; entender a extensão das
perdas e impactos e habilitados a elaborar e manter Planos de Contingência. É imprescindível
também que as Gerências operacionais e os técnicos estejam, além de preparados para apontar
estes Riscos, definir ações preventivas e corretivas a serem aprovadas pelos órgãos superiores.

Ações Preventivas e Corretivas para os Riscos de Tl

As ações preventivas e corretivas fazem parte do dia-a-dia dos técnicos e gerentes operacionais
de TI. São inerentes às suas funções e atreladas aos riscos do negócio sob sua responsabilidade.
É sua obrigação tê-los "na ponta da língua", como se dizia antigamente. É recomendável que as
ações preventivas sejam mais utilizadas que as corretivas.

As ações preventivas devem estar previamente orçadas, contratadas, acompanhadas e atuantes.

Podem se restringir a uma ação puramente técnica controlada internamente ou pode requerer uma
ação externa (fornecedores, terceiros etc). As ações Preventivas estão atuantes pré-ocorrência do
Risco.

Por outro lado as ações corretivas são ativadas pós-ocorrência do Risco. Podem ser o último
estágio antes do acionamento de um Plano de Contingência. Ações corretivas em demasia podem
ser o resultado de um planejamento ou operações inadequadas ou mesmo a falta deles. Ações
corretivas, na maioria das vezes ocorrem de forma emergencial, sem planejamento e dependendo
do procedimento e das ferramentas adotados podem ser mais nocivas para o ambiente de Tl do
que benéficas. Podem ser evitadas caso haja ações Preventivas.

Um exemplo clássico é a gestão de servidores : é requerido que este passe por manutenções
preventivas de hardware periódicas (disco, memória, capacidade, performance etc), assim como é
requerido também que seu ambiente operacional (sistema operacional, software gerenciador de
banco de dados etc) seja atualizado permanentemente de acordo com as orientações do
fornecedor. Não havendo manutenções e atualizações preventivas (Hw e Sw), riscos de
indisponibilidade do ambiente são potencializados. Ações corretivas emergenciais serão requeridas
com todo o risco que lhes são inerentes.

As ações preventivas possibilitam uma gestão de menos risco. No caso citado, contratos de
manutenção e suporte técnico junto a fornecedores e terceiros; treinamento técnico ao pessoal
interno e outras ações impedem que haja exposição e perdas financeiras da empresa em função de
indisponibilidade dos sistemas/serviços.

Processo base pré Planos de Contingência em TI - "BIA"

Finalmente, após alguns conceitos e idéias, pode-se partir para serem completadas as questões
iniciais : "O que fazer quando os riscos identificados e assumidos pela alta gestão se concretizam
de forma inesperada? O que fazer então quando estes riscos são relativos à Área de Tecnologia da
Informação (Tl) ? Mais especificamente, o que fazer quando a área de Operações de Tl tem suas
atividades paralisadas por um simples início de incêndio, mas de conseqiiências que podem
inviabilizar o negócio?"
 "O que fazer quando os riscos identificados e assumidos pela alta gestão se concretizam de forma
inesperada?"
Pensa-se que, primeiramente tenha havido um processo de identificação adequado e eficaz dos
processos e dos riscos. Todos os processos das áreas de TI tenham sido mapeados, junto aos
seus gestores e funcionários. Pensa-se também é claro, que estes gestores e funcionários tenham
domínio sobre sua função, entendam a extensão dos riscos do negócio sob sua responsabilidade, o
impacto, freqüência, possíveis custos/perdas etc (de novo a idéia de uma Metodologia de Gestão
de Riscos ativa, mais precisamente a fase c/e execução denominada BlA - Business Impact
Analisys).

Acompanha este cardápio a necessidade de existência de políticas, instruções operacionais,

manuais de operação e quaisquer outros documentos de apoio à gestão e à operação que definam
diretrizes, responsabilidades ferramentas etc (de novo aqui a idéia dos Controles Internos, mais
precisamente a ISO).

Sabendo-se e tendo-se tudo isto, será fácil para o Gestor de TI (e aí pela primeira vez neste texto
aparece o CIO - o homem de informações da empresa) levar aos níveis de decisão, os riscos
priorizados e com custos apurados. Este processo é vital e deve ser "vendido" corretamente;
entendida sem dúvidas e implantado sem demora.

Novamente à questão : "O que fazer quando os riscos identificados e assumidos pela alta gestão
se concretizam de forma inesperada"?

Caso tenha o "dever de casa" sido corretamente feito: funcionários identificam processos e
levantam riscos de TI; Gerências Operacionais avaliam os Riscos e em conjunto com áreas
técnicas definem ações preventivas e corretivas; Gestores de TI (CIO) reconhecem os riscos
aprovam processo e preparam relatórios com prioridades e custos para a solução; e Órgãos de
decisão da empresa aprovam e liberam verba para a amenização ou solução dos riscos.

Tem-se a resposta para a questão inicial, caso todas as ações planejadas ou não falharem e a
ocorrência do Risco justificar o acionamento de um Plano de Contingência, que nada mais é do que
unia ação preventiva com custo antecipado (e que custo...).

Planos de Contingência em TI
Os Planos de Contingência de TI são normalmente construídos para situações até extremas de
ocorrência de riscos, porém situações de ocorrência de riscos do dia-a-dia devem também ser
contempladas por eles.
Um Plano de Contingência de TI está baseado em três vértices :
- Vértice PESSOAS - que trata dos recursos humanos envolvidos nas atividades em Contingência.
- Vértice ORGANIZApÃO - que trata especificamente sobre a disponibilidade e segurança de
recursos estruturais e organizacionais para suportar as atividades necessárias em Contingência.
- Vértice TECNOLOGIA - que contempla os recursos de hardware, software e ambientais apoiados
em tecnologias de TI e complementares para atender em contingência.

A situação extrema de Risco é a possibilidade de indisponibilidade total do ambiente de TI,

incluindo-se ou não perdas humanas. Nestas situações a empresa se utiliza de, sites back-ups,
contratados anteriormente ou de sua propriedade. É um processo preventivo, muito semelhante a
um seguro - paga-se objetivando-se nunca ter que se utilizar.

Existem várias metodologias para a elaboração de Planos de Contingência, assim como há

também softwares para sua gestão, documentação e atualização. O importante porém é que a
filosofia de contingenciamento de riscos esteja viva e ativa entre os funcionários de TI.
 Situações imprevistas em TI ocorrem praticamente todos os dias. As ações para sua correção são
normalmente feitas ainda de forma corretiva. Históricos das ocorrências com causas e ações
tomadas são procedimentos raros, assim como uma base de dados das lições aprendidas.

Em TI, Riscos e Contingências caminham juntos. Metodologias, políticas, ações operacionais e

gerenciais (preventivas e corretivas) e dinheiro são as bases para a boa gestão deste processo.